Você está na página 1de 3

CONFIGURE A SEGURANA DA PORTA DE UM SWITCH CISCO CATALYST

Um switch que no fornece a segurana de porta permite a um invasor anexar um sistema a uma porta no usada,
habilitada, e executar a coleta de informaes ou ataques. Assim, um invasor poderia coletar trfego que
contivesse nomes de usurio, senhas ou informaes de configurao sobre os sistemas na rede.
Todas as portas de switch ou interfaces devem ser protegidas antes da implantao do switch. A segurana de
porta limita o nmero de endereos MAC vlidos permitidos em uma porta. Quando voc atribui endereos MAC
seguros a uma porta segura, a porta no encaminha pacotes com endereos de origem fora do grupo de endereos
definidos.
Configurando a segurana da porta
Implemente a segurana em todas as portas de switch:
Especifique um grupo de endereos MAC vlidos permitidos em uma porta.
Permita apenas a um endereo MAC acessar a porta.
Especifique que a porta ser desativada automaticamente se forem detectados endereos MAC no
autorizados.

As portas em um switch Cisco so pr-configuradas com padres. A figura abaixo resume a configurao da
segurana de porta padro.

Tipos de endereo MAC seguro


Os endereos MAC seguros so dos seguintes tipos:
Endereos MAC seguros estticos
Endereos MAC seguros dinmicos
Endereos MAC seguros fixos (sticky)

Endereos MAC fixos (sticky) seguros tm estas caractersticas:

Endereos MAC aprendidos dinamicamente, convertidos em seguros fixos (sticky), armazenados na


configurao de execuo.
Desabilitar a aprendizagem fixa remove endereos MAC da configurao de execuo, mas no da tabela
MAC.
Os endereos MAC seguros fixos (sticky) so perdidos quando o switch reiniciado.
Salvar endereos MAC seguros fixos (sticky) no arquivo de configurao de inicializao para que o switch os
tenha quando for reiniciado.
Desabilitar a aprendizagem fixa converte endereos MAC fixos em endereos seguros dinmicos e os remove
da configurao de execuo.

Configurar segurana de porta esttica


H vrias formas de configurar a segurana de porta. Esta uma descrio das formas como possvel configurar
a segurana de porta em um switch Cisco:
Endereos MAC seguros estticos: os endereos MAC so configurados manualmente, usando o comando
de configurao da interface switchport port-security mac-address mac-address. Os endereos MAC
configurados dessa forma so armazenados na tabela de endereos, sendo adicionados configurao de
execuo no switch.

Configurar segurana de porta dinmica


Os endereos MAC so aprendidos dinamicamente e armazenados apenas na tabela de endereos. Os endereos
MAC configurados dessa forma so removidos quando o switch reinicia.A figura abaixo mostra os comandos CLI do
Cisco IOS necessrios configurao da segurana de porta na porta Fast Ethernet F0/18 do switch S1. Observe
que o exemplo no especifica um modo de violao. Neste exemplo, o modo de violao definido como
shutdown.
Configurar segurana de porta fixa
possvel configurar uma porta para saber endereos MAC dinamicamente e salvar esses endereos MAC na
configurao de execuo.

Quando voc habilita a aprendizagem fixa em uma interface usando o comando de configurao da
interface switchport port-security mac-address sticky, a interface converte todos os endereos MAC seguros
dinmicos, inclusive os que foram aprendidos dinamicamente antes da habilitao da aprendizagem fixa, para fixar
endereos MAC seguros e adiciona todos os endereos MAC seguros configurao de execuo.
Se voc desabilitar a aprendizagem fixa usando o comando de configurao da interface no switchport port-
security mac-address sticky, os endereos MAC seguros fixos continuaro parte da tabela de endereos, mas
sero removidos da configurao de execuo.
Quando voc configura endereos MAC seguros fixos usando o comando de configurao da interface switchport
port-security mac-address sticky mac-address, esses endereos sero adicionados tabela de endereos e
configurao de execuo. Se a segurana de porta for desabilitada, os endereos MAC seguros fixos
permanecero na configurao de execuo.
Se voc salvar os endereos MAC seguros fixos no arquivo de configurao, quando o switch for reiniciado ou a
interface for desligada, a interface no precisar reaprender esses endereos. Se voc no salvar os endereos
seguros fixos, eles sero perdidos.
A figura abaixo mostra como habilitar a segurana de porta fixa na porta Fast Ethernet 0/18 do switch S1.
Conforme dito antes, possvel configurar o nmero mximo de endereos MAC seguros. Neste exemplo, voc
pode ver a sintaxe de comando do Cisco IOS usada para definir o nmero mximo de endereos MAC como 50. Por
padro, o modo de violao definido como shutdown.

Se voc desabilitar a aprendizagem fixa e digitar o comando de configurao da interface switchport port-security
mac-address sticky mac-address, uma mensagem de erro ser exibida, e o endereo MAC seguro fixo no ser
adicionado configurao de execuo.
Modos de violao da segurana
possvel configurar a interface para um dos trs modos de violao, com base na ao a ser executada em caso
de uma violao.
Ocorrem violaes de segurana nestas situaes:
Uma estao cujo endereo MAC no est na tabela de endereos tenta acessar a interface quando a tabela
est cheia.
Um endereo estpa sendo usado em duas interfaces seguras na mesma VLAN.
Entre os modos de violao de segurana esto: proteger (protect), restringir (restrict) e desabilitar (shutdown).
A figura apresenta que tipos de trfego de dados so encaminhados quando um dos seguintes modos de violao
de segurana configurado em uma porta:

proteger: quando o nmero de endereos MAC seguros atinge o limite permitido na porta, pacotes com endereos
de origem desconhecidos so ignorados at que voc remova um nmero suficiente de endereos MAC seguros ou
aumente o nmero mximo de endereos permitidos. Voc no notificado de que houve uma violao de
segurana.
restringir: quando o nmero de endereos MAC seguros atinge o limite permitido na porta, pacotes com
endereos de origem desconhecidos so ignorados at que voc remova um nmero suficiente de endereos MAC
seguros ou aumente o nmero mximo de endereos permitidos. Nesse modo, voc notificado de que houve uma
violao de segurana. Especificamente, uma interceptao SNMP enviada, uma mensagem syslog registrada
em log e o contador de violao incrementado.
desligamento: nesse modo, uma violao de segurana de porta faz com que a interface seja desabilitada para
erro imediatamente e apaga o LED da porta. Ele tambm envia uma interceptao SNMP, registra em log uma
mensagem syslog e incrementa o contador de violao. Quando uma porta segura estiver no estado desabilitado
para erro, ser possvel tir-la desse estado, digitando-se os comandos de configurao da interface shutdown e no
shutdown. Este o modo padro.